Social Engineering

  1. Home
  2. Artikelen
  3. Hoe werkt Social Engineering?
Social Engineering

Hoe werkt Social Engineering?

  • 23 Februari 2022
  • TrI-C

Social engineering is een techniek om informatie uit mensen te halen. Bedrijven en organisaties worden steeds meer geconfronteerd met 'direct contacting' van het personeel. Het beperkt zich niet tot het alleen maar op afstand benaderen en door in te breken middels digitale technieken. Het is een wankele zoektocht naar hoe zo geruisloos mogelijk tot een succes te komen. Dat succes is voor het target/slachtoffer een vraag, maar voor de social engineer de opdracht. Subtiliteit, het winnen van vertrouwen, empathisch vermogen, offensieve charme-pogingen, alles wordt uit de kast getrokken om een relatie met het target aan te gaan. De glijdende schaal waarop het target zich uiteindelijk terug zal vinden heeft een 'point of no return'. De meeste slachtoffers zullen, mogelijk uit schaamte, de zaak zelf op proberen te lossen. De kwaadwillende medewerker zou zich kunnen 'verkopen' aan zijn/haar social engineer.

Social engineering is het hacken van mensen

Social engineering kan als verzamelnaam worden geduid voor handelen waarbij bijna alle middelen door één of meerdere personen kunnen worden ingezet om de ander(en) te beïnvloeden en/of te misleiden. Het zijn eeuwenoude technieken die in een nieuw jasje zijn gestoken (misleiding, indoctrineren, verleiden, vertrouwen winnen. etc.). Social engineering is onderdeel van cyber security, vaak omdat meerdere IT-mogelijkheden mede worden ingezet voor m.n. het leggen van de eerste contacten. Als voorbeelden gelden; nep mails, fishing-mails, maar ook nep-nieuws via sociale platforms ed. die worden gebruikt om contact met (het netwerk van) het slachtoffer te maken. Social engineering is het hacken van mensen (Human Hacking) waarbij het voor de social engineer het ultieme doel is het target met hem samen te laten werken. Handelingen te laten verrichten, zaken aanleveren, toegang verschaffen tot..., oog en oor zijn voor de social engineer in de organisatie waar het target werkt of aan gelieerd is. Spioneren voor de social engineer zodat die de organisatie zelf niet hoeft te penetreren. Het heeft betrekking op het verrichten van werkzaamheden voor de social engineer wanneer deze een gesloten organisatie op dat moment niet zou kunnen binnendringen. Er zijn meerdere mogelijkheden om van de diensten van het target gebruik te maken. Neem bijvoorbeeld de introductie van de social engineer door het target in zijn/haar eigen organisatie.

Tegenwoordig is het gebruik van sociale platforms of diverse chatgroepen een ideale omgeving om min of meer anoniem de eerste contacten te leggen en/of grote hoeveelheden onjuiste informatie te verspreiden. Er bestaat een aantal definities m.b.t. social engineering. Triple I communicatie verwoordt het als volgt:

Social enginering in de context van strategische inzet:
Het gebruik van gecentraliseerde planning om sociale verandering te sturen en de toekomstige ontwikkeling en het gedrag van groeperingen te reguleren.

Social engineering in de context van informatiebeveiliging:
Het heimelijk manipuleren van individueel gedrag en waarneming om toegang te krijgen tot vertrouwelijke informatie die kan worden gebruikt voor frauduleuze en/of criminele doeleinden.

In het geval van strategische inzet geldt als voorbeeld; het bewust, frequent, subtiel en hardnekkig verspreiden van onjuiste informatie ('weaponized narritives'). Dit om groeperingen te beïnvloeden tijdens bijvoorbeeld een verkiezings-, of een vaccinatiecampagne. Maar ook de tienduizenden nepmails die verspreid werden direct na het neerhalen van de MH17 (bron: Bellingcat.com) om de algemene opinie te beïnvloeden.
In het geval van informatiebeveiliging geldt als voorbeeld; het gesprek, de sociale communicatie, aangaan met (het netwerk van) het slachtoffer, middels mogelijk een digitale introductie (o.a. email). Het onbewuste slachtoffer hoeft in beginsel niet het eerste target te zijn waarop de social engineer zijn oog heeft laten vallen tijdens zijn voorbereiding. Iedereen in dat netwerk kan deel uitmaken van de aanvalsvectoren van een social engineer. De social engineer kan zich via contacten binnen een organisatie, wat bij uitstek een netwerk is, naar de juiste persoon laten dirigeren. In eerste instantie om het vertrouwen te winnen en daarna de druk op te voeren om het slachtoffer in de invloedsferen van de social engineer te trekken. Deze technieken zijn nauwelijks te onderkennen met digitale middelen.

“Je ziet het pas als je het door hebt”

Een social engineer aanval op een individu kan iedere organisatie diep raken. De reputatie, het beeld, waar de organisatie jaren op had ingezet en waar hard aan is gewerkt, kan zomaar verdwijnen. Het imago, hoe de klanten tegen de organisatie aankijken, kan zomaar geschaad worden. Het vertrouwen van de klant verliezen kan desastreus zijn voor commerciƫle instellingen, maar dat geldt feitelijk voor iedere organisatie. Ook non-profit organisaties zijn daardoor meer kwetsbaar, denk aan ministeries als justitie, defensie en organisaties als veiligheids-, en andere overheidsdiensten.

Een bekende voetballer heeft zich op de kaart gezet met zijn uitspraken. Eén daarvan gaat hier zeker op: “je ziet het pas als je het door hebt”. Namelijk de social engineer bedient zich o.a. van het sturen van een aantal vaste handelingen. Deze handelingen zitten zo vastgebakken in onze cultuur waardoor ze bij gebruik niet op zullen vallen. Het slagingspercentage van dit optreden is gelieerd aan het dilemma in de wens van organisaties klantvriendelijk en servicegericht te zijn t.o.v. een stukje gezond wantrouwen. Het is daarom dat men niet direct een aanval herkent. Maar het traject waar het naar leidt, medewerking verlenen aan iets waarvan je, mogelijk achteraf, zegt daaraan nooit had willen meewerken, is wel te onderkennen. Met training en inzicht in de werkbare elementen is na verloop van tijd de modus operandi waar te nemen.

Triple I communicatie verzorgt trainingen en workshops voor poortwachters, (middel)management maar vooral voor de werkvloer om personeel meer kennis te laten nemen van het fenomeen social engineering. Dat betekent niet dat zij zelf opgeleid worden tot social engineer. Maar onderwerpen als welke 5 fases liggen ten grondslag aan een aanval (engagement model). Waar richt een social engineer zich op (gedragsstijlen). De vertaalslag van de informatie naar de eigen organisatie kunnen maken en aanbeveling doen op het gebied van personeelsbeleid, compartimentering, omgang met bedrijfsgegevens.


Cursus Social Engineering

Hoe voorkom je Human hacking? Bescherm jezelf en je personeel! Schrijf je in voor de dynamische cursus Social Engineering
Incorporate of virtueel beschikbaar

Meer informatie
Naar overzicht

Benieuwd hoe we u kunnen helpen?

Maak een afspraak!